淺談局域網(wǎng)ARP攻擊的危害及防范方法

1、要：自去年5月份開始出現(xiàn)的校內(nèi)局域網(wǎng)頻繁掉線等問題，對正常的教育教學(xué)帶來了極大的不便，可以說是談“掉”色變，造成這種現(xiàn)象的情況有很多，但目前最常見的是ARP攻擊了。本文介紹了 ARP攻擊的原理以及由此引發(fā)的網(wǎng)絡(luò)安全問題，并且結(jié)合實際情況，提出在校園網(wǎng)中實施多層次的防范方法，以解決因ARP攻擊而引發(fā)的網(wǎng)絡(luò)安全問題，最后介紹了一些實用性較強且操作簡單的檢測和抵御攻擊的有效方法。關(guān)鍵詞：ARP攻擊；網(wǎng)絡(luò)安全；防范方法您是否遇到局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計算機或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常？您的網(wǎng)速是否時快時慢，極其不穩(wěn)定，但單機進行光纖數(shù)據(jù)測試時一切正常？您是否時常聽到教職工的網(wǎng)上銀行、游戲及QQ賬號

2、頻繁丟失的消息？這些問題的出現(xiàn)有很大一部分要歸功于ARP攻擊，我校局域網(wǎng)自去年5月份開始ARP攻擊頻頻出現(xiàn)，目前校園網(wǎng)內(nèi)已發(fā)現(xiàn)的“ARP攻擊”系列病毒已經(jīng)有了幾十個變種。據(jù)檢測數(shù)據(jù)顯示，APR攻擊從未停止過，為此有效的防范ARP形式的網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通必要條件。一、ARP的基本知識1、什么是ARP？ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過

3、地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的，ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。2、ARP協(xié)議的工作原理正常情況下，每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，

4、就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡(luò)中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個 ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如圖：彩影

5、軟件的ARP防火墻，目前最新版本是V版。 ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動防御技術(shù)，包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來的問題，從而保證通訊安全（保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽和控制）、保證網(wǎng)絡(luò)暢通。彩影ARP防火墻下載地址： 3、具有ARP防護功能的網(wǎng)絡(luò)設(shè)備由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問題是目前網(wǎng)絡(luò)管理，特別是局域網(wǎng)管理中最讓人頭疼的攻擊，他的攻擊技術(shù)含量低，隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊，同時防范ARP形式的攻擊也沒有什么特別有效的方法。目前只能通過被動的亡羊補牢形式的措施了，本文介紹的方法希望對大家有所幫助。ARP 攻擊的原理A

6、RP 欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報 警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和 ARP 數(shù)據(jù)包的協(xié)議地址不匹配?；蛘撸珹RP 數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡 MAC 數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò) MAC 數(shù)據(jù)庫 MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時間報警，查這些數(shù)據(jù)包 (以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能 偽造)，就大致知道那臺機器在發(fā)起攻擊了?，F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、 P2P 終結(jié)者也會使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對網(wǎng)關(guān)的訪問，也就是會獲取發(fā)到網(wǎng)關(guān)的流量，從而實現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能，同時也會對網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲

7、取用戶的密碼等相關(guān)信息。處理辦法通用的處理流程：1 .先保證網(wǎng)絡(luò)正常運行方法一：編輯個*.bat 文件內(nèi)容如下：end讓網(wǎng)絡(luò)用戶點擊就可以了!辦法二：編輯一個注冊表問題，鍵值如下：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"mac"="arp ¬s 網(wǎng)關(guān) IP 地址 網(wǎng)關(guān) Mac 地址"然后保存成 Reg 文件以后在每個客戶端上點擊導(dǎo)入注冊表。 2 找到感染 ARP 病毒的機器。在電腦上 ping

8、一下網(wǎng)關(guān)的 IP 地址，然后使用 ARP a 的命令看得到的網(wǎng)關(guān)對應(yīng)的 MAC 地址是否與實際情況相符，如不符，可去查找與該 MAC 地址對應(yīng)的電腦。使用抓包工具，分析所得到的 ARP 數(shù)據(jù)報。有些 ARP 病毒是會把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假 ARP 回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。使用 mac 地址掃描工具， nbtscan 掃描全網(wǎng)段 IP 地址和 MAC 地址對應(yīng)表，有助于判斷感染 ARP 病毒對應(yīng) MAC 地址和 IP 地址。按照上述辦法，綁定ip，由于

9、病毒不是一直發(fā)作，很難找到感染病毒的電腦，但病毒發(fā)作時，用arp -a命令發(fā)現(xiàn)網(wǎng)關(guān)的mac地址變了，根據(jù)mac地址終于找到問題的根源，關(guān)掉電腦，網(wǎng)絡(luò)正常?；蛘哐b個ARP防火墻。用彩影單機版三】ARP地址欺騙類病毒（以下簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復(fù)制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運行，因此它的危害比一些蠕蟲還要嚴重得多。二、ARP病毒發(fā)作時的現(xiàn)象網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分PC機不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無法打開網(wǎng)頁或打開網(wǎng)頁慢，局域網(wǎng)時斷時續(xù)并且網(wǎng)速較慢等。三、ARP病

10、毒原理3.1 網(wǎng)絡(luò)模型簡介眾所周知，按照OSI (Open Systems Interconnection Reference Model 開放系統(tǒng)互聯(lián)參考模型) 的觀點，可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu)，每一個層次上運行著不同的協(xié)議和服務(wù)，并且上下層之間互相配合，完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能，如圖1：圖1 OSI網(wǎng)絡(luò)體系模型然而，OSI的模型僅僅是一個參考模型，并不是實際網(wǎng)絡(luò)中應(yīng)用的模型。實際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即TCP/IP體系模型，將網(wǎng)絡(luò)劃分為四層，每一個層次上也運行著不同的協(xié)議和服務(wù)，如圖2。圖2 TCP/IP四層體系模型及其配套協(xié)議上圖中，藍色字體表示該層的名稱，綠色字表示運行在該層上的協(xié)

11、議。由圖2可見，我們即將要討論的ARP協(xié)議，就是工作在網(wǎng)際層上的協(xié)議。3.2 ARP協(xié)議簡介我們大家都知道，在局域網(wǎng)中，一臺主機要和另一臺主機進行通信，必須要知道目標(biāo)主機 的IP地址，但是最終負責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識別IP地址的，只能識別其硬件地址即MAC地址。MAC地址是48位的，通常表示為 12個16進制數(shù)，每2個16進制數(shù)之間用“-”或者冒號隔開，如：00-0B-2F-13-1A-11就是一個MAC地址。每一塊網(wǎng)卡都有其全球唯一的 MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對方網(wǎng)卡的MAC地址進行發(fā)送，這時就需要一個將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這

12、個重要 的任務(wù)將由ARP協(xié)議完成。ARP全稱為Address Resolution Protocol，地址解析協(xié)議。所謂“地址解析”就是主機在發(fā)送數(shù)據(jù)包前將目標(biāo)主機IP地址轉(zhuǎn)換成目標(biāo)主機MAC地址的過程。ARP協(xié)議的基本功能就是 通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。 這時就涉及到一個問題，一個局域網(wǎng)中的電腦少則幾臺，多則上百臺，這么多的電腦之間，如何能準(zhǔn)確的記住對方電腦網(wǎng)卡的MAC地址，以便數(shù)據(jù)的發(fā)送呢？這就 涉及到了另外一個概念，ARP緩存表。在局域網(wǎng)的任何一臺主機中，都有一個ARP緩存表，該表中保存這網(wǎng)絡(luò)中各個電腦的IP地址和MAC地址的對照關(guān)系。 當(dāng)這

13、臺主機向同局域網(wǎng)中另外的主機發(fā)送數(shù)據(jù)的時候，會根據(jù)ARP緩存表里的對應(yīng)關(guān)系進行發(fā)送。下面，我們用一個模擬的局域網(wǎng)環(huán)境，來說明ARP欺騙的過程。3.3 ARP欺騙過程四、ARP病毒新的表現(xiàn)形式由于現(xiàn)在的網(wǎng)絡(luò)游戲數(shù)據(jù)包在發(fā)送過程中，均已采用了強悍的加密算法，因此這類ARP 病毒在解密數(shù)據(jù)包的時候遇到了很大的難度?，F(xiàn)在又新出現(xiàn)了一種ARP病毒，與以前的一樣的是，該類ARP病毒也是向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽 裝成網(wǎng)關(guān)。但區(qū)別是，它著重的不是對網(wǎng)絡(luò)游戲數(shù)據(jù)包的解密，而是對于HTTP請求訪問的修改。HTTP是應(yīng)用層的協(xié)議，主要是用于WEB網(wǎng)頁訪問。還是以上面的局域網(wǎng)環(huán)境舉 例，如果局域網(wǎng)中一臺

14、電腦S要請求某個網(wǎng)站頁面，如想請求這個網(wǎng)頁，這臺電腦會先向網(wǎng)關(guān)發(fā)送HTTP請求，說：“我想登陸 網(wǎng)頁，請你將這個網(wǎng)頁下載下來，并發(fā)送給我。”這樣，網(wǎng)關(guān)就會將頁面下載下來，并發(fā)送給S 電腦。這時，如果A這臺電腦通過向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽裝成網(wǎng)關(guān)，成為一臺ARP中毒電腦的話，這樣當(dāng)S電腦請求WEB網(wǎng)頁時，A電腦先 是“好心好意”地將這個頁面下載下來，然后發(fā)送給S電腦，但是它在返回給S電腦時，會向其中插入惡意網(wǎng)址連接！該惡意網(wǎng)址連接會利用MS06-014和 MS07-017等多種系統(tǒng)漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請求WEB頁面訪問，A電腦同樣也會給D電腦返回帶毒的網(wǎng)

15、頁，這樣，如果一 個局域網(wǎng)中存在這樣的ARP病毒電腦的話，頃刻間，整個網(wǎng)段的電腦將會全部中毒！淪為黑客手中的僵尸電腦！案例圖4 被ARP病毒插入的惡意網(wǎng)址連接從圖4中可以看出，局域網(wǎng)中存在這樣的ARP病毒電腦之后，其它客戶機無論訪問什么網(wǎng)頁，當(dāng)返回該網(wǎng)頁時，都會被插入一條惡意網(wǎng)址連接，如果用戶沒有打過相應(yīng)的系統(tǒng)補丁，就會感染木馬病毒。五、ARP病毒電腦的定位方法下面，又有了一個新的課題擺在我們面前：如何能夠快速檢測定位出局域網(wǎng)中的ARP病毒電腦？面對著局域網(wǎng)中成百臺電腦，一個一個地檢測顯然不是好辦法。其實我們只要利用ARP 病毒的基本原理：發(fā)送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網(wǎng)關(guān)的特性

16、，就可以快速鎖定中毒電腦?？梢栽O(shè)想用程序來實現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時候， 牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址，并且實時監(jiān)控著來自全網(wǎng)的ARP數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)有某個ARP數(shù)據(jù)包廣播，其IP地址是正確網(wǎng)關(guān)的IP地址，但是 其MAC地址竟然是其它電腦的MAC地址的時候，這時，無疑是發(fā)生了ARP欺騙。對此可疑MAC地址報警，在根據(jù)網(wǎng)絡(luò)正常時候的IPMAC地址對照表查 詢該電腦，定位出其IP地址，這樣就定位出中毒電腦了。下面詳細說一下幾種不同的檢測ARP中毒電腦的方法。5.1 命令行法這種方法比較簡便，不利用第三方工具，利用系統(tǒng)自帶的ARP命令即可完成。上文已經(jīng) 說過，當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時候

17、，ARP病毒電腦會向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時局域網(wǎng)中的其它電腦就會動態(tài)更新自身的ARP緩存表，將網(wǎng) 關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址，這時候我們只要在其它受影響的電腦中查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址，就知道中毒電腦的MAC地址了，查 詢命令為 ARP a，需要在cmd命令提示行下輸入。輸入后的返回信息如下： Internet Address Physical Address Type 00-50-56-e6-49-56 dynamic這時，由于這個電腦的ARP表是錯誤的記錄，因此，該MAC地址不是真正網(wǎng)關(guān)的MAC地址， 而是中毒電腦的MAC地址！這時

18、，再根據(jù)網(wǎng)絡(luò)正常時，全網(wǎng)的IPMAC地址對照表，查找中毒電腦的IP地址就可以了。由此可見，在網(wǎng)絡(luò)正常的時候，保存 一個全網(wǎng)電腦的IPMAC地址對照表是多么的重要?？梢允褂胣btscan 工具掃描全網(wǎng)段的IP地址和MAC地址，保存下來，以備后用。5.2 工具軟件法現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer（現(xiàn)在已更名為ARP防火墻），下面我就演示一下使用Anti ARP Sniffer這個工具軟件來定位ARP中毒電腦。首先打開Anti ARP Sniffer 軟件，輸入網(wǎng)關(guān)的IP地址之后，再點擊紅色框內(nèi)的“枚舉MAC”按鈕，即可獲得正確網(wǎng)關(guān)的MAC地址，如圖5。圖5 輸入網(wǎng)關(guān)IP地址后，枚舉MAC接著點擊